Synthèse. Quelle performance opérationnelle pour la sécurité de l information?

Dimension: px
Commencer à balayer dès la page:

Download "Synthèse. Quelle performance opérationnelle pour la sécurité de l information?"

Transcription

1 Synthèse Quelle performance opérationnelle pour la sécurité de l information? Décembre 2010 : Synthèse de notre étude des enjeux et de la démarche d optimisation Benchmark des priorités et bonnes pratiques

2

3 Introduction du responsable de la Practice Sécurité Chers clients, La maturité de vos organisations sécurité et un contexte économique exigeant posent la question de l'excellence opérationnelle. Plus vite, plus grand, plus efficace : des attentes métiers que vous devez accompagner. Nous avons décidé de combiner nos expertises en sécurité et en performance pour vous proposer les meilleures pratiques de la performance opérationnelle appliquées concrètement au domaine de la sécurité de l information. Certains d'entre vous ont déjà mis en oeuvre notre approche ou déployé un module pour optimiser l'accompagnement des métiers, la gestion des fournisseurs ou la mise en place de catalogues de services sécurité, par exemple. Nous avons également mené deux études auprès de vous, enrichies de nos retours d'expériences en performance sécurité. La première est un benchmark des enjeux et des domaines d'action que vous avez estimés prioritaires. Un grand merci pour l'accueil que vous avez réservé à ces entretiens qui ont été réalisés entre mars 2009 et mars 2010 sur la base du jeu de cartes OPIS (Operational Performance of Information Security). La deuxième est une évaluation par notre B-Community Information Security des solutions technologiques qui contribuent à la sécurité des systèmes d information. Nos convictions s'en trouvent renforcées : approche de la sécurité par les processus et insertion dans les processus de l'entreprise, décloisonnement de l'organisation sécurité, responsabilisation des acteurs par les risques, conception pragmatique fondée sur la pérennité des effets des actions et non pas sur la granularité du contrôle. La synthèse que vous tenez entre vos mains présente la problématique, les résultats des benchmarks ainsi que quelques clés et outils méthodologiques qui vous permettront d'optimiser la performance de votre filière Sécurité. Je vous laisse parcourir ce document qui reflète le point de vue et le savoir que Beijaflore a capitalisé. Maxime de Jabrun 3

4

5 Table des matières La sécurité de l information au cœur de l entreprise De l expertise sécurité à la performance opérationnelle Benchmark de la performance opérationnelle des processus sécurité Analyse et synthèse des axes stratégiques pour une sécurité performante Benchmark des technologies et outils sécurité Un point de vue d expert sur la sécurité au quotidien Une approche processus éprouvée Maîtrise efficiente des risques sécurité comme levier de compétitivité Conclusion

6 La sécurité de l information au cœur de l entreprise De l expertise sécurité à la performance opérationnelle Point de situation sur la sécurité de l information Quelle sécurité de l information pour demain? Budget Entre 2008 et 2009, 60% des entreprises ont augmenté leur budget sécurité. La part de la sécurité dans le budget IT global tend à progresser. En 2010, les entreprises françaises allouant moins de 3% de leur budget IT à la sécurité ne sont plus que 27% - contre 33% en 2009 ; 42% affichent une enveloppe de plus de 3% - contre 37% en Positionnement Le RSSI est soit rattaché à la DSI (36%), soit à la Direction Administrative et Financière (DAF) (12%) ou directement à la Direction Générale pour un tiers (34%) des entreprises, en fort recul par rapport à 2008 (-11%). Ceci peut s expliquer par l arrivée plus nombreuse de RSSI au sein d entreprises de tailles moyennes ayant un niveau de maturité en SSI encore faible. Mesures de la sécurité Plus de 65% des entreprises ne mesurent toujours pas leur niveau de sécurité régulièrement. Plus des deux tiers (71%) des entreprises mènent au moins un audit par an, alors que 25% n en mènent pas du tout (-10% par rapport à 2008). Dans les tableaux de bord, l évaluation des risques métier est de plus en plus suivie 39%, +7% par rapport à Source : Clusif 2010, Menaces informatiques et pratiques de sécurité en France Un contexte en évolution constante La sécurité de l'information s'est fortement développée pour répondre à des risques qui sont apparus avec la globalisation des systèmes d'information. Aujourd hui, le risque technologique n est plus le seul élément moteur des équipes sécurité et cette approche tend à s aligner sur les risques et besoins métiers. Malgré une position plus stratégique des RSSI, le manque de budget et les contraintes organisationnelles rendent difficile une bonne couverture des risques. Bien que les initiatives de mise en conformité soient globalement satisfaisantes, un tiers des projets restent à sécuriser et le contrôle continu du maintien de cette conformité est perfectible. Vers une recherche de performance pour la filière sécurité La sécurité occupe une place grandissante tant au niveau stratégique que réglementaire. Les entreprises n'ont cependant pas les capacités humaines, matérielles et financières pour répondre rapidement à ces nouveaux impératifs. Les chiffres révèlent des lacunes dans la sécurité de l'information. Néanmoins, les organisations prennent conscience de l'importance d'une protection efficace contre les menaces de sécurité. Elles ont une démarche de plus en plus proactive. Les RSSI rencontrent des difficultés pour suivre la performance de leurs mesures de sécurité. 6

7 Notre vision de la performance opérationnelle De la performance opérationnelle à la sécurité de l information Performance opérationnelle = ensemble de bonnes pratiques qui permettent d améliorer la qualité, d optimiser la gestion de toutes les ressources et ainsi de créer de la valeur au sein du département Objectif de performance de la filière sécurité = augmenter l efficacité des processus Efficacité = Pertinence x Efficience Pertinence = rapport entre les moyens utilisés et les objectifs. Deux facteurs influencent la pertinence des processus de sécurité : l identification des besoins et des objectifs métiers l analyse des risques sécurité Maturité et approche par les risques Maturité de la sécurité = niveau d expertise, d expérience, de prise de conscience des usagers, d alignement au business que l entreprise possède en sécurité de l information Se protéger = Identifier, évaluer, et apporter une réponse adaptée à chaque risque Probabilité = probabilité qu un scénario d attaque (menace exploitant une vulnérabilité) se réalise Impact = niveau d impact pour le métier (financier, image, clientèle, juridique, ) est déterminé par les besoins sécurité impactés par une vulnérabilité Efficience = Résultats optimum en regard des moyens déployés. Travailler l efficience = Augmentation des résultats des processus Optimisation des moyens à niveau de résultat équivalent L objectif de performance des filières sécurité Performance opérationnelle du dispositif sécurité Des services sécurité performants Couverture performante des risques Eléments clés d une analyse de risques sécurité Risque = Probabilité x Impact = f (Menace, Vulnérabilité, Besoins, Actif) Menace - Une menace est un danger qui peut se réaliser Etat embryonnaire Matrice Beijaflore de performance du dispositif sécurité Bonne couverture des risques Niveau de sécurité délivré Vulnérabilité - Une vulnérabilité est une faiblesse qui peut être exploitée par une menace Besoins - Les besoins de sécurité se rapportent à l actif, en termes de confidentialité, d intégrité, de disponibilité et de preuve. Actif - Tout ce qui a de la valeur pour l entreprise Echelle de maturité en sécurité de l information Menace Maturité en gestion des risques Faciliter la création de valeur Adapter les solutions sécurité aux besoins métiers Appliquer uniformément les standards définis par l organisation Temps Vulnérabilité Besoins C I Actif P D Impact Probabilité Echelle de maturité sécurité Beijaflore 7

8 Une approche par les enjeux de performance Les gains de performance pour la sécurité Si la performance opérationnelle est recherchée depuis longtemps dans les processus industriels, elle est peu abordée dans le domaine de la sécurité de l information. Dans un contexte qui exige une amélioration permanente de l efficience des processus, pourquoi ne pas appliquer les démarches éprouvées de performance opérationnelle à la sécurité? Avec OPIS, Beijaflore propose d appréhender la maîtrise des risques sécurité comme un levier de compétitivité pour l entreprise. Le socle d analyse d OPIS s appuie sur onze familles qui regroupent une soixantaine de processus et qui couvrent ainsi la globalité de l activité sécurité. La performance opérationnelle de ces processus sécurité est étudiée au travers de sept enjeux essentiels. Décloisonner la sécurité, éliminer les dysfonctionnements et industrialiser les pratiques sont autant de leviers pour améliorer la performance opérationnelle de la sécurité. En généralisant cette démarche qui impacte les sept enjeux clés de la performance opérationnelle de la sécurité de l information, les grands comptes seront témoins d une amélioration globale de leur dispositif de sécurité. 7 Enjeux essentiels de performance opérationnelle pour la sécurité Alignement métier Faire correspondre les processus sécurité à des besoins des métiers de l entreprise ou des risques que les métiers souhaitent couvrir Couverture S assurer que les activités sécurité sont prises en compte pour le périmètre requis (organisationnel, géographique, technique) Cohérence Garantir que les mêmes inputs génèrent les mêmes résultats et ainsi augmenter la prédictibilité des activités / processus sécurité Réactivité Optimiser les délais de prise en compte et de traitement Coût Réduire la charge financière (jh, ) nécessaire à la couverture des risques Respect Faire en sorte que l ensemble des activités soient constamment réalisées telles que définies Réutilisation Réutiliser les résultats des processus sécurité sans avoir à réeffectuer toutes leurs activités (solutions, recommandations ) Un historique à gérer? Une réduction du budget sécurité? Une modification de votre organisation? Des clients plus exigeants? Des menaces plus importantes? Operational Performance of Information Security Améliorer le respect Optimiser les coûts Améliorer la cohérence Augmenter la couverture Augmenter la réactivité Améliorer l alignement métier Favoriser la réutilisation 8

9 Benchmark de la performance opérationnelle des processus sécurité Analyse et synthèse des axes stratégiques pour une sécurité performante Objectif, périmètre et méthode L objectif est de permettre aux RSSI de positionner leur vision de la performance opérationnelle de leur dispositif sécurité par rapport au marché en identifiant : Les enjeux de performance Cohérence Alignement au métier Réactivité Respect Coûts Réutilisation Couverture Les périmètres sur lesquels agir Analyse & Gouvernance Vulnérabilités Identités & Accès Patrimoine informationnel Continuité Conseil sécurité Stratégie Accès réseau Audit & Contrôle Alertes & Incidents Ressources humaines Le profil type est un RSSI groupe ou métier (78%) d une société qui emploie plus de personnes (61%) réalisant un chiffre d affaires supérieur ou égal à 5Mds d euros (81%) Présentation de l échantillon Secteur Chiffre d affaires Assurance Industrie & service Banque 23% 32% 45% 5% 5% 9% 23% 58% Inférieur à 500 M Compris entre 500 M et 1 Mds Compris entre 1 et 5 Mds Compris entre 5 et 50 Mds Supérieur à 50 Mds Effectif Inférieur à Compris entre et % 13% 13% 22% 22% Profil Fonction IT Compris entre et Supérieur à % 56% RSSI Entité métier RSSI Groupe 9

10 Déroulement des interviews Les interviews se sont appuyées sur le jeu de cartes OPIS. Jeu de cartes OPIS : 11 cartes beiges «familles OPIS» et 7 cartes grises «Enjeux» à positionner sur un plateau où sont imprimées deux matrices : matrice de potentiel de gain opérationnel et matrice d amélioration des processus sécurité. Jeu de cartes OPIS Attente client plus forte Alignement au métier Réutilisation gains gamea3:mise en page 1 12/06/09 15:21 Page 2 Vulnérabilité Exemples Besoin d amélioration plus urgent Respect Veille technologique Sécurisation de ressources Patching de ressources Maintenance Beijaflore Operational Performance of Information Security Potentiel de gain plus élevé processus Accès réseau Contrôle & Audit Operational Performance of Information Security Posture Sécurité Contribution plus forte 10

11 Quelques exemples types d amélioration de la performance opérationnelle sur des processus sécurité de l information Les drivers Réduire les coûts du processus de cloisonnement Améliorer l alignement métier du processus de sensibilisation Améliorer la réactivité du processus IAM Améliorer la cohérence des analyses de risques Améliorer la couverture de gestion des vulnérabilités Améliorer la réutilisation du processus d alertes et incidents Les points d amélioration potentiels Réduire le coût de l isolement d une ressource informatique Renforcer le suivi des règles de sécurité Réduire le délai d implémentation des droits Objectiver la démarche d évaluation des risques Augmenter le nombre de ressources dans le périmètre de gestion Définir une méthodologie centrale et un outil de capitalisation Leviers clés Virtualiser les architectures Identification des risques IT en lien avec l activité métier Routage et priorisation des demandes, automatisation des tâches, centralisation des outils d implémentation Définir un catalogue de scénarios et une méthode d évaluation commune Modifier le process de mise en production Rédiger une politique et une méthodologie d alerte aux incidents déclinable sur les différents périmètres 11

12 Synthèse des résultats Enjeux de la performance opérationnelle de la sécurité La matrice des enjeux opérationnels donne une tendance où 3 groupes d enjeux se distinguent : Augmenter la couverture et améliorer l alignement métier sont les enjeux principaux des répondants Améliorer le respect et la cohérence, augmenter la réactivité et favoriser la réutilisation sont des enjeux secondaires Réduire les coûts reste une attente forte malgré une estimation de potentiel faible Priorisation des périmètres d action La priorité des RSSI en matière de sécurité de l information est donnée aux processus de gestion des identités et des accès, de contrôle ainsi qu au traitement des vulnérabilités. Parmi les projets de premier plan, on citera entre autres la détection des vulnérabilités, la gestion et synchronisation des référentiels d identité, la traçabilité des accès, la définition du plan de contrôle La description des familles de processus est détaillée en annexe. Enjeux de la performance opérationnelle de la sécurité Priorisation des périmètres d action Attente client plus forte Coûts Réactivité Couverture Respect Alignement au métier Réutilisation Besoin d amélioration plus urgent Gouvernance Patrimoine RH IAM Vulnérabilité Contrôle Analyse Alertes Réseau Cohérence Stratégie Continuité Potentiel de gain plus élevé Posture Sécurité Contribution plus forte Source : Benchmark Beijaflore, 2010 Positionnement relatif 12

13 Synthèse des résultats L augmentation de la couverture est l attente principale du top management et le point d amélioration potentiel le plus fort du périmètre sécurité. L alignement des processus sécurité aux besoins métier est un enjeu majeur des équipes sécurité. Pour la grande majorité des RSSI interrogés, la priorité est donnée à la gestion des identités & accès qui est de plus un enjeu pour la DSI. Le contrôle & l audit contribuent toujours autant à la posture sécurité et nécessitent encore des améliorations notamment dans la gestion des tiers et la sélectivité dans les plans de contrôle interne. Les projets d amélioration des plans de contrôle permettent ainsi d obtenir un juste équilibre entre une bonne couverture du périmètre et une maîtrise des charges induites. Appliqué au sourcing, cela peut également permettre la mise en place d un système de pénalités pour les fournisseurs. Ces pénalités permettent d assurer une meilleure prise en compte opérationnelle des enjeux sécurité dans les services fournis. Les enjeux majeurs identifiés pour optimiser la performance opérationnelle de la sécurité de l information sont l alignement au métier des processus sécurité de la gouvernance et la couverture du périmètre géographique et technique par la gestion des vulnérabilités. Matrice processus sécurité prioritaires / enjeux identifiés Gains principaux Alignement Métier Coûts Couverture Gains secondaires Cohérence Réutilisation Contrôle & Audit Contrôle & Audit Gouvernance Gouvernance Identités & Accès Identités & Accès Vulnérabilités Vulnérabilités Source : Benchmark Beijaflore, 2010 Très important Important Moyen 13

14 Synthèse des résultats Les enjeux par profils Les enjeux propres au profil RSSI Groupe tiennent en grande partie à l amélioration de la réactivité des processus de contrôle et de gouvernance. Derrière ces enjeux se dessinent souvent des tableaux de bords trop complexes avec des indicateurs pas assez pertinents qui limitent la performance des contrôles et des cycles de reporting. Pour le profil RSSI Entité métier, l augmentation du périmètre de sensibilisation des usagers du SI et des plans de contrôle est un enjeu majeur. Leur vision de la performance est principalement sujette à un travail de maîtrise de l impact de l homme sur la sécurité avec une proximité assez forte au métier. La cohérence de l approche et le respect des règles font partis de leur conviction dans l amélioration de la performance opérationnelle. Les profils fonction IT ont des préoccupations liées aux processus opérationnels de leur périmètre. Leur priorité va à la réutilisation et à l alignement sur les besoins métiers. Ces enjeux peuvent par exemple être primordiaux pour : la gestion des règles des firewalls où l empilement des règles inhibe souvent leur performance ; la capitalisation sur les accompagnements sécurité dans les projets métiers ; la compréhension du fonctionnement des lignes métiers pour implémenter des services adaptatifs. Matrices processus sécurité prioritaires / gains identifiés par profil RSSI Groupe Gains principaux Alignement Métier Couverture Réactivité Réutilisation Analyse & Conseil Contrôle & Audit Gouvernance Identité & Accès Vulnérabilités RSSI Entité métier Contrôle & Audit Gouvernance Identité & Accès Alignement Métier Couverture Gains principaux Réactivité Cohérence Respect Fonction IT Accès au réseau Identités & Accès Vulnérabilités Alignement Métier Gains principaux Couverture Réutilisation Ressources Humaines Vulnérabilités Source : Benchmark Beijaflore, 2010 Très important Important Moyen 14

15 Benchmark des technologies et outils sécurité Un point de vue d expert sur la sécurité au quotidien Objectif, périmètre et méthode Ce benchmark a pour objectif de partager avec vous notre point de vue sur les outils et technologies qui contribuent à la maîtrise des risques sécurité. Nous vous proposons une cartographie générale des solutions sécurité qui vous permettra de guider vos choix technologiques stratégiques à court et moyen terme en fonction d un référentiel de critères pertinents pour la réussite de vos projets sécurité. Ce benchmark est l objet d une mûre réflexion sur la capacité des technologies et outils présents sur le marché à répondre facilement aux problématiques actuelles de sécurité de l information. Nous avons élaboré un modèle d évaluation permettant d orienter les choix technologiques d une entreprise. Nous vous présentons dans ce document une vision nourrie de nos interventions, vision qui peut être déclinée dans votre entreprise. Le modèle d évaluation L'évaluation des outils sécurité est faite suivant deux paramètres : l'impact sécurité de la solution la facilité de déploiement et de gestion de la solution Modèle d évaluation Beijaflore des technologies et outils sécurité Impact Sécurité Diminution du risque sécurité impact sur le niveau de sécurité Facilité de déploiement et de gestion Popularité taux d adoption par des entreprises Facilité de déploiement Impact user niveau d implication nécessaire des futurs utilisateurs Impact sur le SI importance de la pré-production, de la mise en production et de l analyse Expertise de la solution niveau d expertise et de formation pour l implémentation de la solution Ressources IT spécifiques importance du nombre et de la standardisation des composants (soft/hard) Facilité de gestion Coût investissement nécessaire pour gérer la solution Maintenance maintien de l infrastructure / configuration nécessaire pour fonctionner correctement Simplicité du support niveau d expertise déployée pour maintenir la solution en production Contraintes induites contraintes opérationnelles potentielles induites par l utilisation de l outil 15

16 Positionnement global des outils et technologies sécurité Les résultats génériques de ce benchmark sont rassemblés dans la matrice de positionnement qui prend en compte l ensemble des critères de la méthodologie d évaluation Beijaflore. Cet outil de cartographie générale des outils et technologies sécurité permet de suivre l évolution des cycles de vie des solutions, de matérialiser la veille technologique mais également de positionner ces technologies de manière relative pour soutenir vos choix stratégiques en termes d investissement à court et moyen termes via un regroupement facilitant la prise de décision : Investir rapidement Ce groupe rassemble les technologies «valeurs sûres» usuellement faciles à déployer et dont la gestion apporte relativement peu de contraintes pour l équipe sécurité et les lignes métiers. Ces solutions sécurité permettent aussi une bonne réduction des risques résiduels. Maintenir Déployées quasi-systématiquement, ces technologies dites «basiques» ont des effets sur les risques résiduels plus limités que les deux groupes précédents. Néanmoins, elles ont l avantage au-delà de leur popularité de bénéficier d une facilité de déploiement et de gestion qui en font des indispensables pour libérer les équipes sécurité de nombreuses tâches automatisables ou bien pour garantir une voie de recours en cas d incident. Saisir les opportunités Les technologies que l on qualifie de «contraignantes» forment ce groupe. Il convient de noter qu elles apportent un niveau de sécurité acceptable et sont de plus en plus adoptées dans les organisations soumises à de fortes régulations (finance, sociétés côtées, ). En dépit des contraintes qu elles imposent en termes de maintenance, d expertise et de charge, ces technologies sont souvent à considérer si l opportunité budgétaire et la mobilisation des acteurs de l entreprise sont réunies. Leur déploiement est généralement lié à des problématiques relatives à une incidentologie forte, à la régulation ou à des besoins spécifiques de protection de données sensibles. Surveiller Dans ce groupe, on place les technologies «en retrait». Ces solutions n ont généralement pas encore assez de maturité pour trouver un réel besoin sécurité auquel répondre, les avantages qu elles offrent sont souvent liés au confort des utilisateurs mais ces solutions restent un casse-tête pour les équipes sécurité. 16

17 Positionnement global des outils et technologies sécurité Impact sécurité DLP Saisir les opportunités VPN, chiffrement de flux Vulnerability Assessment IPS Hardening servers Investir rapidement Chiffrement de données Firewall poste de travail Firewall applicatif PKI IAM provisionning Surveiller Authentification forte IAM identify management Event log correlation IAM authentification VPN Accès nomade Firewall Event log centralisation IAM authorization Reverse proxy 802,1x IAM Access right workflows IAM Contrôle & Audit Maintenir Patch management Antivirus HTTP Antivirus System Anti-spam/ AV SMTP Backup serveur SLO/SSO Backup poste de travail nomade Contrôle d intégrité URL Filter Facilité de mise en œuvre et de gestion, et popularité Source : Benchmark Beijaflore, 2010 Beijaflore,

18 Résultats détaillés Les solutions par environnement Les technologies et outils du benchmark ont été classés en quatre catégories d environnement : Les solutions agissant sur l infrastructure qui regroupent les technologies et outils sécurité nécessitant l ajout et/ou la configuration de serveurs : Backup, Patch management, Event log management, SLO/SSO, IAM authentification & autorisation, Les solutions agissant sur le réseau parmi lesquelles on trouve les technologies et outils sécurité qui s intègrent ou s installent directement sur le réseau : Firewall, Data Leak Prevention, Antivirus http, Anti-spam, Intrusion Prevention System, VPN, Les solutions agissant sur les processus, à savoir des technologies et outils sécurité qui modifient l usage ou l accès aux applications : IAM control & audit, identity management, access right workflows. Les solutions agissant sur le poste de travail au sein desquelles on place les technologies et outils sécurité qui modifient l usage et les fonctionnalités du poste de travail des usagers : Antivirus system, Firewall & Backup poste de travail, chiffrement de données, PKI, Le positionnement des catégories d environnement sur la matrice d évaluation Beijaflore montre deux choses : la première, que les solutions qui agissent sur le réseau diminuent globalement le risque de manière plus large et à un niveau plus acceptable que les autres solutions, la seconde, que les solutions agissant sur l infrastructure sont généralement plus complexes à gérer et déployer que les autres solutions. Les solutions les plus impactantes sur la sécurité Les résultats de ce benchmark fournissent le classement des solutions qui diminuent le plus le risque sécurité et le plus de risques sécurité, parmi lesquelles on retrouve une grande partie des solutions «valeurs sûres» précédemment définies mais également les solutions de protection DLP, IPS et Firewall, et les solutions de prévention de type chiffrement de flux (VPN) et de données ou d authentification forte. Diminution du risque sécurité - impact sur le niveau de sécurité 1. Solution qui change peu le niveau de risque ou qui est palliative / compensatoire 2. Solution qui diminue le niveau de risque sans atteindre un niveau de risque acceptable 3. Solution qui apporte un niveau de risque acceptable 4. Solution qui apporte un niveau de risque acceptable et couvrant plus de risques Résultats par impact sécurité (Top 10) Hardening server 3,8/4 VPN, chiffrement de flux 3,7/4 Data Leak Prevention (DLP) 3,6/4 Vulnerability assessment 3,6/4 Intrusion Prevention System (IPS) 3,4/4 Firewall poste de travail 3,2/4 Chiffrement de données 3,2/4 Firewall, Firewall apllicatif 3,1/4 Authentification forte 3,1/4 Patch Management 3/4 Source : Benchmark Beijaflore,

19 Résultats détaillés Les solutions les plus faciles à mettre en œuvre Le classement des solutions les plus faciles à mettre en œuvre est largement dominé par les solutions du type antivirus et/ou filtre qui font aussi partie des solutions les plus déployées par les organisations, suivies de près par le patch management et le contrôle des accès. On notera également la présence des outils VPN (accès nomade), firewall personnel, backup qui se déploient facilement, ne nécessitent pas d analyse de risque en pré-production et peu d expertise. Le facteur coût n est pas pris en compte dans le critère de facilité de déploiement. En effet il est trop variable selon l ampleur des projets et les périmètres à couvrir. Il convient en revanche de le prendre en compte dans l évaluation des solutions pour l utilisation des résultats du benchmark. Résultats par facilité de déploiement (Top 10) Antivirus system 3,1/4 Anti-Spam / AV SMTP 2,9/4 Antivirus HTTP 2,9/4 URL Filter 2,8/4 Patch Management 2,8/4 Solution IAM : Contrôle & audit 2,7/4 VPN (accès nomade) 2,6/4 Firewall poste de travail 2,6/4 Backup serveur 2,6/4 Source : Benchmark Beijaflore, 2010 Event log centralisation 2,5/4 Les solutions les plus faciles à gérer Les résultats montrent que ce sont des outils sécurité autonomes ou n ayant besoin que d une gestion superficielle. Ces solutions sont majoritairement des logiciels, des algorithmes indépendants, des processus de paramétrage, d audit ou de sauvegarde dont les coûts de gestion sont quasiment transparents post déploiement. Néanmoins, ces solutions induisent généralement des contraintes pour les lignes métiers lorsqu elles cessent de fonctionner, c est pourquoi elles nécessitent souvent d être déployées à plusieurs niveaux de l architecture sécurité ou bien d être dupliquées et reliées à des ponts réseau. Résultats par facilité de gestion (Top 10) Antivirus system 3,1/4 Event log centralisation 2,9/4 Hardening servers 2,9/4 Firewall poste de travail 2,8/4 Solution IAM : Contrôle & audit 2,8/4 Anti-Spam / AV SMTP 2,7/4 Antivirus HTTP 2,6/4 Backup poste de travail (nomade) 2,6/4 Backup serveur 2,6/4 Source : Benchmark Beijaflore, 2010 Solution IAM : access right workflows 2,5/4 19

20 Focus sur les solutions IAM Les évolutions légales et réglementaires (Loi sur la Sécurité Financière, Sarbanes-Oxley, Solvency II...) tendent à augmenter le niveau d exigence en matière de traçabilité et de maîtrise des droits d accès. Les entreprises peinent à faire aboutir les projets IAM malgré les enjeux qui lui sont directement reliés. Le déploiement d un système de gestion des identités et accès est complexe, c est pourquoi les prérequis suivants sont nécessaires pour garantir la performance des accès : le niveau de sponsorship du projet doit être suffisant pour mobiliser les acteurs métiers (il n est donc pas DSI) ; le référentiel organisationnel doit être fiabilisé (structure & utilisateurs) ; une vue simple (macro) de l urbanisation doit être disponible. Les projets IAM doivent s appuyer sur 3 drivers essentiels : associer les responsables des équipes métiers à la construction des profils métier ; démarrer la construction des profils techniques avec les équipes IT; s appuyer sur les technologies maîtrisées de l organisation (annuaire LDAP, moteur de workflows, base de données ). La roadmap IAM doit intégrer les 4 étapes clés suivantes (cf. schéma ci-dessous) : 1. Fiabilisation des référentiels organisationnel et applicatif Le référentiel organisationnel doit permettre de distinguer la structure et les personnes. Parmi ces personnes, il est nécessaire de différencier 3 types de population : les internes (CDD, CDI), les externes (consultant, stagiaire, interim) et les partenaires (utilisateurs des ressources internes que l on ne connaît pas).enfin les statuts des personnes sont également à prendre en compte. On identifie les statuts RH avec les use cases : join, leave, move, suspend (congés, maladie, maternité ). 2. Profilage des droits Le profilage doit se faire sur la base d un référentiel organisationnel et applicatif unique pour être efficace. La définition des rôles doit conduire à une simplification de l organisation du métier, la performance sera directement diminuée si la granularité est trop importante. La construction des profils techniques doit permettre de construire l urbanisation simplifiée de chaque application et composants techniques du SI. 3. Workflows validation/gestion Les outils de workflows doivent répondre aux critères d auditabilité définis. Les workflows doivent déclencher les ordres de provisionning, l industrialisation de cette étape contribue pour beaucoup à la performance de l IAM. 4. Provisionning Roadmap IAM Référentiel applicatif Profilage technique Mise à jour des apllications & composants Référentiel organisationnel Profilage métier Workflows + Reporting Provisionning Authentification forte Source : Benchmark Beijaflore, 2010 SSO Temps 20

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI NOTRE EXPERTISE Dans un environnement complexe et exigeant, Beijaflore accompagne les DSI dans le pilotage et la transformation de la fonction SI afin

Plus en détail

وزارة السكنى والتعمير وسياسة المدينة

وزارة السكنى والتعمير وسياسة المدينة وزارة السكنى والتعمير وسياسة المدينة Phase 3 Planification de la solution retenue et stratégie de changement Elaboration du Schéma Directeur du Système d Information des agences urbaines 2013 Sommaire

Plus en détail

CATALOGUE DES FORMATIONS

CATALOGUE DES FORMATIONS 2015 CATALOGUE DES FORMATIONS Formations sur catalogue ou sur-mesure Formations inter ou intra entreprises Promotions pour les adhérents du Clusif Pour tout programme surmesure, nous contacter directement.

Plus en détail

Vers un nouveau modèle de sécurité

Vers un nouveau modèle de sécurité 1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et

Plus en détail

Tous droits réservés SELENIS

Tous droits réservés SELENIS 1. Objectifs 2. Etapes clefs 3. Notre proposition d accompagnement 4. Présentation de SELENIS 2 Un projet est une réalisation spécifique, dans un système de contraintes donné (organisation, ressources,

Plus en détail

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L objectif de ce document est de définir les compétences de l architecte référent en sécurité des systèmes d information, ou «ARSSI», par le

Plus en détail

Etude sur les services de communication au sein des grands comptes

Etude sur les services de communication au sein des grands comptes Etude sur les services de communication au sein des grands comptes D octobre 2009 à mars 2010, le cabinet Beijaflore a mené une étude qualitative auprès de 30 grands comptes et administrations de plus

Plus en détail

La Gestion Electronique des Documents

La Gestion Electronique des Documents La Gestion Electronique des Documents La mise en place d une solution La gestion de l information est devenue un enjeu stratégique majeur à l intérieur des organisations. D après l observation des projets

Plus en détail

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com Enterprise Risk Management 01/12/09 La gestion des risques de sécurité informatique De la protection du SI à la protection de l'information Patrick CHAMBET http://www.chambet.com Bouygues Telecom DSI/DGOA/SSI

Plus en détail

SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS

SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS 04 / 06 / 2015 V1.0 www.advens.fr Document confidentiel Advens 2015 Conclusion: Yes we can! Des nombreux risques peuvent impacter la sécurité de

Plus en détail

Leader de l Actuariat Conseil et de la Gestion des Risques

Leader de l Actuariat Conseil et de la Gestion des Risques Leader de l Actuariat Conseil et de la Gestion des Risques Optimind Winter respecte les meilleurs standards européens sur l ensemble des expertises associées à la chaîne des risques des organismes assureurs,

Plus en détail

Devenir Responsable de la sécurité des systèmes d'information (RSSI)

Devenir Responsable de la sécurité des systèmes d'information (RSSI) Titre de la formation Devenir Responsable de la sécurité des systèmes d'information (RSSI) Date prévue de la formation Week-end : 31 Mars et 01 Avril, Milieu de semaine : 27 et 28 Mars Objectifs : 2 Jours

Plus en détail

Exploiter l information remontée par le SI

Exploiter l information remontée par le SI Exploiter l information remontée par le SI Synthèse de la conférence thématique du CLUSIF du 14 octobre 2014. Il est un domaine de la sécurité des systèmes d information qui s applique tant en termes de

Plus en détail

Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données

Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données Integrated Security Engineering (ISE) La sécurité au cœur de vos projets et systèmes

Plus en détail

REFERENTIEL DU CQPM. TITRE DU CQPM : Préventeur (trice) en cybersécurité des systèmes d information

REFERENTIEL DU CQPM. TITRE DU CQPM : Préventeur (trice) en cybersécurité des systèmes d information COMMISION PARITAIRE NATIONALE DE L EMPLOI DE LE METALLURGIE Qualification : Catégorie : D Dernière modification : 02/04/2015 REFERENTIEL DU CQPM TITRE DU CQPM : Préventeur (trice) en cybersécurité des

Plus en détail

Menaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014

Menaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014 Menaces informatiques et Pratiques de sécurité en France Édition 2014 Paris, Enquête 2014 Les Hôpitaux publics de + de 200 lits Mme Hélène COURTECUISSE Astrid LANG Fondatrice Responsable Sécurité SI Patient

Plus en détail

Sécurité Active. Analyser l Renforcer l Maîtriser l Étudier

Sécurité Active. Analyser l Renforcer l Maîtriser l Étudier Sécurité Active Analyser l Renforcer l Maîtriser l Étudier Analyser l Renforcer l Maîtriser l Étudier L offre Sécurité Active évalue et fortifie les systèmes d information vis-à-vis des meilleures pratiques

Plus en détail

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale CYBERSÉCURITÉ Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale Delivering Transformation. Together. Sopra Steria, leader européen de la transformation

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

Forum panafricain sur le leadership et le management de l action gouvernementale. Forum des secrétaires généraux de gouvernement

Forum panafricain sur le leadership et le management de l action gouvernementale. Forum des secrétaires généraux de gouvernement Centre Africain de Formation et de Recherche Administratives pour le développement Fondation pour le Renforcement des Capacités en Afrique (ACBF) Forum panafricain sur le leadership et le management de

Plus en détail

Gouvernance SSI - Organisation & Pilotage. Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr

Gouvernance SSI - Organisation & Pilotage. Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr Gouvernance SSI - Organisation & Pilotage Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr 1 I Approche Concepts clés 2 Gouvernance SSI (source : Information security governance «guidance for board

Plus en détail

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together. CYBERSÉCURITÉ Des capacités globales de cybersécurité pour une transformation numérique en toute confiance Delivering Transformation. Together. Sopra Steria, leader européen de la transformation numérique,

Plus en détail

Gestion des comptes à privilèges

Gestion des comptes à privilèges 12 décembre 2013 Gestion des comptes à privilèges Bertrand CARLIER, Manager Sécurité de l Information bertrand.carlier@solucom.fr Solucom, conseil en management et système d information Cabinet de conseil

Plus en détail

Prestations d audit et de conseil 2015

Prestations d audit et de conseil 2015 M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations

Plus en détail

Instance Nationale de Concertation CNAF Projet de Transformation de la DSI et des fonctions SG/AC

Instance Nationale de Concertation CNAF Projet de Transformation de la DSI et des fonctions SG/AC Instance Nationale de Concertation CNAF Projet de Transformation de la DSI et des fonctions SG/AC Le 5 Mars 2015 Version de travail Projet Février 2015-1 Ordre du jour Avancement des travaux Rappel du

Plus en détail

Utilisation de la méthode EBIOS :

Utilisation de la méthode EBIOS : Utilisation de la méthode EBIOS : de l organisation projet aux composants du SMSI (Système de Management de la Sécurité de l Information) Philippe TOURRON Direction Opérationnelle des Systèmes d'information/université

Plus en détail

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions 5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les

Plus en détail

DÉMATÉRIALISATION DES DOCUMENTS ET AUTOMATISATION DES PROCESSUS UN PREMIER PAS VERS LA BANQUE SANS PAPIER

DÉMATÉRIALISATION DES DOCUMENTS ET AUTOMATISATION DES PROCESSUS UN PREMIER PAS VERS LA BANQUE SANS PAPIER DÉMATÉRIALISATION DES DOCUMENTS ET AUTOMATISATION DES PROCESSUS UN PREMIER PAS VERS LA BANQUE SANS PAPIER Pour les banques, le papier devrait servir à imprimer des billets ; pas à en garder la trace dans

Plus en détail

Panorama général des normes et outils d audit. François VERGEZ AFAI

Panorama général des normes et outils d audit. François VERGEZ AFAI Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,

Plus en détail

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI Approche Méthodologique de la Gestion des vulnérabilités Jean-Paul JOANANY - RSSI Generali un grand nom de l Assurance Le Groupe Generali Generali en France 60 pays 65 millions de clients 80.000 collaborateurs

Plus en détail

Gouvernance de la sécurité des systèmes d information

Gouvernance de la sécurité des systèmes d information Gouvernance de la sécurité des systèmes d information Hicham El Achgar, CISA, COBIT, ISO 27002, IS 27001 LA ITIL, ISO 20000, Cloud Computing ANSI Tunis, le 14 Fév 2013 2003 Acadys - all rights reserved

Plus en détail

Réussir sa transformation grâce à l architecture d entreprise

Réussir sa transformation grâce à l architecture d entreprise POINT DE VUE Réussir sa transformation grâce à l architecture d entreprise Delivering Transformation. Together. Hichem Dhrif Hichem est Directeur de la division Défense et Sécurité de Sopra Steria Consulting.

Plus en détail

Sécuriser l accès aux applications et aux données. Charles Tostain, André Deville, Julien Bouyssou IBM Tivoli Sécurité

Sécuriser l accès aux applications et aux données. Charles Tostain, André Deville, Julien Bouyssou IBM Tivoli Sécurité Sécuriser l accès aux applications et aux données Charles Tostain, André Deville, Julien Bouyssou IBM Tivoli Sécurité 2 Agenda Gérer les identités : pourquoi et comment? Tivoli Identity Manager Express

Plus en détail

D ITIL à D ISO 20000, une démarche complémentaire

D ITIL à D ISO 20000, une démarche complémentaire D ITIL à D ISO 20000, une démarche complémentaire www.teamup-consulting.com Teamup Consulting - 1 Certificat nºinf/2007/29319 1 ère société de conseil française certifiée ISO 20000-1:2011 Sommaire Introduction

Plus en détail

Présentation ORSYP. L Innovation au service de la Performance. Alexandra Sommer. Directeur Marketing ORSYP Labs

Présentation ORSYP. L Innovation au service de la Performance. Alexandra Sommer. Directeur Marketing ORSYP Labs Présentation ORSYP L Innovation au service de la Performance Alexandra Sommer Directeur Marketing ORSYP Labs 1 Le groupe ORSYP Au service de la Performance & de la Productivité des Opérations IT +25 ans

Plus en détail

Gestion des autorisations / habilitations dans le SI:

Gestion des autorisations / habilitations dans le SI: Autorisations RBAC (Role Based Access Control) Séparation des pouvoirs (SoD) Annuaire central de sécurité Gestion des autorisations / habilitations dans le SI: S'appuyer sur la modélisation fonctionnelle

Plus en détail

ITIL : Premiers Contacts

ITIL : Premiers Contacts IT Infrastructure Library ITIL : Premiers Contacts ou Comment Optimiser la Fourniture des Services Informatiques Vincent DOUHAIRIE Directeur Associé vincent.douhairie douhairie@synopse. @synopse.fr ITIL

Plus en détail

Problématique, Constats

Problématique, Constats Problématique, Constats Réactivité de la DSI pour les projets numériques consommateurs Contraintes de temps et de coûts Forte pression des métiers Compétitivité des sociétés externes Décalage de démarrage

Plus en détail

Urbanisation des Systèmes d'information

Urbanisation des Systèmes d'information Urbanisation des Systèmes d'information Les Audits de Systèmes d Information et leurs méthodes 1 Gouvernance de Système d Information Trois standards de référence pour trois processus du Système d Information

Plus en détail

Surabondance d information

Surabondance d information Surabondance d information Comment le manager d'entreprise d'assurance peut-il en tirer profit pour définir les stratégies gagnantes de demain dans un marché toujours plus exigeant Petit-déjeuner du 25/09/2013

Plus en détail

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014 Gouvernance des mesures de sécurité avec DCM-Manager Présentation du 22 mai 2014 Gérer les actifs logiciels et leur répartition Maîtriser le durcissement des configurations Suivre l application des correctifs

Plus en détail

ALDEA ET SYSTEMES D INFORMATION

ALDEA ET SYSTEMES D INFORMATION ALDEA CONSEIL EN ORGANISATION ET SYSTEMES D INFORMATION 30 avenue du Général Leclerc 92100 Boulogne-Billancourt Tel : +33 1 55 38 99 38 Fax : +33 1 55 38 99 39 www.aldea.fr Aldea - Conseil Organisation

Plus en détail

Cours 1 : Introduction à la Sécurité des Systèmes d Information

Cours 1 : Introduction à la Sécurité des Systèmes d Information Cours 1 : Introduction à la Sécurité des Systèmes d Information ESIL Université de la méditerranée Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/ssi.html Plan du cours

Plus en détail

L accès sécurisé. aux données. médicales

L accès sécurisé. aux données. médicales L accès sécurisé aux données médicales Le décret confidentialité N 2007-960 du 15 mai 2007 La responsabilité personnelle des chefs d établissement et des médecins vis-à-vis de la confidentialité des données

Plus en détail

Mise en œuvre d une DSI agile. Chi Minh BUI UNIPRÉVOYANCE

Mise en œuvre d une DSI agile. Chi Minh BUI UNIPRÉVOYANCE Mise en œuvre d une DSI agile Chi Minh BUI UNIPRÉVOYANCE INTRODUCTION Des problématiques similaires pour des enjeux identiques indépendamment de la taille de l organisation «David contre Goliath» RETOUR

Plus en détail

Atelier " Gestion des Configurations et CMDB "

Atelier  Gestion des Configurations et CMDB Atelier " Gestion des Configurations et CMDB " Président de séance : François MALISSART Mercredi 7 mars 2007 (Nantes) Bienvenue... Le thème : La Gestion des Configurations et la CMDB Le principe : Échanger

Plus en détail

MANAGEMENT PAR LA QUALITE ET TIC

MANAGEMENT PAR LA QUALITE ET TIC Garantir une organisation performante pour satisfaire ses clients et ses partenaires, telle est la finalité d une certification «qualité». On dénombre de nombreux référentiels dont le plus connu et le

Plus en détail

Le Workflow comme moteur des projets de conformité

Le Workflow comme moteur des projets de conformité White Paper Le Workflow comme moteur des projets de conformité Présentation Les entreprises sont aujourd'hui soumises aux nouvelles régulations, lois et standards de gouvernance les obligeant à mettre

Plus en détail

MANAGEMENT PAR LA QUALITE ET TIC

MANAGEMENT PAR LA QUALITE ET TIC MANAGEMENT PAR LA QUALITE ET TIC Lorraine Garantir une organisation performante pour satisfaire ses clients et ses partenaires, telle est la finalité d une certification «qualité». On dénombre de nombreux

Plus en détail

CONSULTING, BANQUE & ASSURANCE. axiwell LE SENS DE L ESSENTIEL

CONSULTING, BANQUE & ASSURANCE. axiwell LE SENS DE L ESSENTIEL CONSULTING, BANQUE & ASSURANCE axiwell LE SENS DE L ESSENTIEL SOMMAIRE Édito... page 3 Axiwell Financial Services... Exemples de missions réalisées... Nos offres spécifiques... Risques / Conformité / Réglementaire...

Plus en détail

Guillaume Garbey (Consultant sécurité) Contributeurs: Gilles Morieux, Ismaël Cisse, Victor Joatton

Guillaume Garbey (Consultant sécurité) Contributeurs: Gilles Morieux, Ismaël Cisse, Victor Joatton Guillaume Garbey (Consultant sécurité) Contributeurs: Gilles Morieux, Ismaël Cisse, Victor Joatton Lyon, le 25 février 2009 Introduction à la gestion des identités et des accès Enjeux et objectifs Les

Plus en détail

Politique Générale de la Sécurité des Systèmes d Information de Santé (PGSSI-S)

Politique Générale de la Sécurité des Systèmes d Information de Santé (PGSSI-S) RÉFÉRENTIELS Politique Générale de la Sécurité des Systèmes d Information de Santé (PGSSI-S) Comité Technique GCS Santé Alsace 21 mars 2014 Anne Bertaud Vladimir Vilter PGSSI-S Sommaire Les enjeux de la

Plus en détail

Axe de valeur BMC Identity Management, la stratégie d optimisation de la gestion des identités de BMC Software TM

Axe de valeur BMC Identity Management, la stratégie d optimisation de la gestion des identités de BMC Software TM BROCHURE SOLUTIONS Axe de valeur BMC Identity Management, la stratégie d optimisation de la gestion des identités de BMC Software TM L IDENTITE AU COEUR DE VOTRE PERFORMANCE «En tant que responsable informatique,

Plus en détail

Optimiser vos méthodes d organisation (ITIL, COBIT, PRINCE2, ) par la mise en place d un processus de Gestion & Publication des connaissances adapté

Optimiser vos méthodes d organisation (ITIL, COBIT, PRINCE2, ) par la mise en place d un processus de Gestion & Publication des connaissances adapté Optimiser vos méthodes d organisation (ITIL, COBIT, PRINCE2, ) par la mise en place d un processus de Gestion & Publication des connaissances adapté 25/07/06 JJ Mois Année Présentation générale & Présentation

Plus en détail

Présentation du cabinet

Présentation du cabinet Présentation du cabinet Medi Experts Conseil en Management des Organisations Stratégie, Capital Organisation Humain, Organisation, Ressources Humaines et Systèmes d information. Systèmes d Information

Plus en détail

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799 David BIGOT Julien VEHENT Etude du cas ASSURAL Mise en conformité du système d'information avec la norme ISO 17799 Master Management de la Sécurité des Systèmes Industriels et des Systèmes d'information

Plus en détail

ActiveSentry : le monitoring permanent de la sécurits. curité des architectures Internet

ActiveSentry : le monitoring permanent de la sécurits. curité des architectures Internet ActiveSentry : le monitoring permanent de la sécurits curité des architectures Internet OSSIR 11/09/2001 Fabrice Frade Directeur Technique Intranode 2001 Qui est Intranode? Intranode est un éditeur d une

Plus en détail

Augmenter l efficacité et la sécurité avec la gestion des identités et le SSO

Augmenter l efficacité et la sécurité avec la gestion des identités et le SSO Augmenter l efficacité et la sécurité avec la gestion des identités et le SSO Alexandre Garret Directeur des opérations - Atheos Charles Tostain Consultant Sécurité - IBM 24 Juin 2009 2009 IBM Corporation

Plus en détail

BCBS 239 Repenser la gestion des données Risques

BCBS 239 Repenser la gestion des données Risques 1 BCBS 239 Repenser la gestion des données Risques Etude Ailancy du 19 janvier 2015 2 1. Quelques mots sur Ailancy 2. Présentation de BCBS 239 et de ses impacts pour les Banques QUELQUES MOTS SUR AILANCY

Plus en détail

INDUSTRIALISATION ET RATIONALISATION

INDUSTRIALISATION ET RATIONALISATION INDUSTRIALISATION ET RATIONALISATION A. LA PROBLEMATIQUE La mission de toute production informatique est de délivrer le service attendu par les utilisateurs. Ce service se compose de résultats de traitements

Plus en détail

M2 Miage Processus de la Sécurité des Systèmes d information

M2 Miage Processus de la Sécurité des Systèmes d information M2 Miage Processus de la Sécurité des Systèmes d information Damien Ploix Université d Evry Val d Essonne damien.ploix@ibisc.univ-evry.fr http://www.ibisc.univ-evry.fr/~dploix 1 Plan Introduction Organisation

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

S U P E R V I S É PA R N. A B R I O U X

S U P E R V I S É PA R N. A B R I O U X Tableau de bord SSI S U P E R V I S É PA R N. A B R I O U X S. B A L S S A L. B O B E T M. H A L L O U M I J. M A N O H A R A N 1 Plan Présentation Méthodologie d élaboration Cas pratique Conclusion Nom

Plus en détail

Software Asset Management Savoir optimiser vos coûts licensing

Software Asset Management Savoir optimiser vos coûts licensing Software Asset Management Savoir optimiser vos coûts licensing A propos d Insight Insight est le spécialiste en gestion des contrats de licences, en fourniture de logiciels et services associés. Nous accompagnons

Plus en détail

Quel audit de Sécurité dans quel contexte?

Quel audit de Sécurité dans quel contexte? Emplacement du logo client Quel audit de Sécurité dans quel contexte? Hervé Morizot (herve.morizot@solucom.fr) 09 avril 2002 Agenda Quel audit? Selon quelle démarche et avec quels outils? Une "stratégie

Plus en détail

Product Life-Cycle Management

Product Life-Cycle Management Offre de prestations en Product Life-Cycle Management Contact : Pascal MORENTON CentraleSupélec 1, campus de Chatenay-Malabry 06 13 71 18 51 pascal.morenton@centralesupelec.fr http://plm.ecp.fr Nos formations

Plus en détail

ISO 27002 // Référentiels de la santé

ISO 27002 // Référentiels de la santé ISO 27002 // Référentiels de la santé Vue des établissements de santé Club 27001 27/03/2015 Nicole Genotelle Version 1.0 Sommaire Contexte Thématiques 27002 // référentiels de santé Exemples de mise en

Plus en détail

Gestion des Incidents SSI

Gestion des Incidents SSI Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information

Plus en détail

JEAN LARROUMETS Co-fondateur FIDENS Consultant en Sécurité des Systèmes d Information

JEAN LARROUMETS Co-fondateur FIDENS Consultant en Sécurité des Systèmes d Information JEAN LARROUMETS Co-fondateur FIDENS Consultant en Sécurité des Systèmes d Information Copyright Fidens 2013 - All rights reserved 04/04/13 1 2! Consultant sécurité des SI et Co-fondateur de Fidens Chef

Plus en détail

Les rendez-vous Risk Advisory La lettre des professionnels du risque et de la finance

Les rendez-vous Risk Advisory La lettre des professionnels du risque et de la finance Risk Advisory Février 2014 Les rendez-vous Risk Advisory La lettre des professionnels du risque et de la finance Des points de vue sur vos sujets de préoccupation dans les domaines de la gestion des risques,

Plus en détail

PGSSI-S Guide pratique d une démarche sécurité SI en ES. Direction générale de l offre de soins - DGOS

PGSSI-S Guide pratique d une démarche sécurité SI en ES. Direction générale de l offre de soins - DGOS PGSSI-S Guide pratique d une démarche sécurité SI en ES Guide pratique d une démarche sécurité SI en ES pour sensibiliser les directions Cible : les directions des ES les établissements de taille moyenne,

Plus en détail

Enjeux et perspectives des Centres de Services Partagés. Nos convictions et notre approche

Enjeux et perspectives des Centres de Services Partagés. Nos convictions et notre approche Enjeux et perspectives des Centres de Services Partagés Nos convictions et notre approche Cédric Damiens Directeur - ALDEA ALDEA - www.aldea.fr Enjeux et perspectives des Centres de Services Partagés :

Plus en détail

D une PSSI d unité de recherche à la PSSI d établissement. Sylvie Vottier, RMSI, Université de Bourgogne Alain TABARD, ICMUB UMR CNRS 6302

D une PSSI d unité de recherche à la PSSI d établissement. Sylvie Vottier, RMSI, Université de Bourgogne Alain TABARD, ICMUB UMR CNRS 6302 D une PSSI d unité de recherche à la PSSI d établissement Sylvie Vottier, RMSI, Université de Bourgogne Alain TABARD, ICMUB UMR CNRS 6302 SOMMAIRE 2 1. Eléments de contexte 2. Elaboration d une PSSI d

Plus en détail

onsolidation Expert Yourcegid Solutions de gestion PROFESSION COMPTABLE Consolidation Expert

onsolidation Expert Yourcegid Solutions de gestion PROFESSION COMPTABLE Consolidation Expert onsolidation Expert Yourcegid Solutions de gestion PROFESSION COMPTABLE Consolidation Expert 1 Parce que votre organisation est unique, Parce que vos besoins sont propres à votre métier et à votre environnement,

Plus en détail

Contrôler, optimiser, anticiper : la Direction Financière au centre de l activité bancaire

Contrôler, optimiser, anticiper : la Direction Financière au centre de l activité bancaire Contrôler, optimiser, anticiper : la Direction Financière au centre de l activité bancaire Les turbulences financières actuelles, symptômes de mutations structurelles du système financier, Les évènements

Plus en détail

Optimisez vos processus informatiques, maximisez le taux de rendement de vos actifs et améliorez les niveaux de service

Optimisez vos processus informatiques, maximisez le taux de rendement de vos actifs et améliorez les niveaux de service Solutions de gestion des actifs et services Au service de vos objectifs d entreprise Optimisez vos processus informatiques, maximisez le taux de rendement de vos actifs et améliorez les niveaux de service

Plus en détail

Nos Solutions PME VIPDev sont les Atouts Business de votre entreprise.

Nos Solutions PME VIPDev sont les Atouts Business de votre entreprise. Solutions PME VIPDev Nos Solutions PME VIPDev sont les Atouts Business de votre entreprise. Cette offre est basée sur la mise à disposition de l ensemble de nos compétences techniques et créatives au service

Plus en détail

Référentiel de compétences en système d'information

Référentiel de compétences en système d'information ANTICIPER ET COMPRENDRE Référentiel de compétences en système d'information OCTOBRE 2013 Publication réalisée dans le cadre du programme national Hôpital numérique Métiers Management des soins Cadre responsable

Plus en détail

HySIO : l infogérance hybride avec le cloud sécurisé

HySIO : l infogérance hybride avec le cloud sécurisé www.thalesgroup.com SYSTÈMES D INFORMATION CRITIQUES ET CYBERSÉCURITÉ HySIO : l infogérance hybride avec le cloud sécurisé Le cloud computing et la sécurité au cœur des enjeux informatiques L informatique

Plus en détail

Pilotage de la performance par les processus et IT

Pilotage de la performance par les processus et IT Pilotage de la performance par les processus et IT Pilotage par les processus, Apports de la DSI aux processus métiers, Maturité des entreprises en matière de pilotage par les processus. 1 1 Piloter par

Plus en détail

Plan de Continuité d'activité Concepts et démarche pour passer du besoin à la mise en oeuvre du PCA

Plan de Continuité d'activité Concepts et démarche pour passer du besoin à la mise en oeuvre du PCA Qu est-ce que la Continuité d'activité? 1. Définition 11 2. Les objectifs et enjeux du PCA 12 2.1 Les objectifs 12 2.2 Les enjeux 13 3. Les contraintes et réglementations 14 3.1 Les contraintes légales

Plus en détail

Modèle de gouvernance de la sécurité des TI

Modèle de gouvernance de la sécurité des TI Modèle de gouvernance de la sécurité des TI www.pr4gm4.com par la gestion des risques et le SMSI (Cf. ISO 2700x) Présentation Février 2010 Copyright 2010 - PR4GM4 1 Contexte: le triangle des affaires Sites

Plus en détail

Association ESSONNE CADRES

Association ESSONNE CADRES Association ESSONNE CADRES 10 avenue du Noyer Lambert - 91300 MASSY : 01 60 12 01 45 Email : competences91@essonnecadres.org Site web : www.essonnecadres.org Besoin d un Professionnel pour une situation

Plus en détail

Observatoire Marocain du Commerce Extérieur Un ambitieux projet de transformation

Observatoire Marocain du Commerce Extérieur Un ambitieux projet de transformation Observatoire Marocain du Commerce Extérieur Un ambitieux projet de transformation Projet de présentation de la réunion du Bureau Exécutif du 15 novembre 2011 Sommaire 1 CONTEXTE 2 DEMARCHE DE MISE EN ŒUVRE

Plus en détail

Plan de Conformité et d'audit: les meilleures pratiques. Sebastien Bernard Identity & Security Manager sbernard@novell.com

Plan de Conformité et d'audit: les meilleures pratiques. Sebastien Bernard Identity & Security Manager sbernard@novell.com Plan de Conformité et d'audit: les meilleures pratiques Sebastien Bernard Identity & Security sbernard@novell.com Nos solutions répondent aux besoins de nos clients Datacenter Informatique utilisateurs

Plus en détail

LIVRE BLANC. Dématérialisation des factures fournisseurs

LIVRE BLANC. Dématérialisation des factures fournisseurs LIVRE BLANC 25/03/2014 Dématérialisation des factures fournisseurs Ce livre blanc a été réalisé par la société KALPA Conseils, société créée en février 2003 par des managers issus de grandes entreprises

Plus en détail

Yphise optimise en Coût Valeur Risque l informatique d entreprise

Yphise optimise en Coût Valeur Risque l informatique d entreprise Gérer le risque opérationnel ORM - Operational Risk Management Juin 2008 Xavier Flez yphise@yphise.com Propriété Yphise GM Gouvernance PR Projets IS Systèmes d Information SO Service Management 1 Le risque

Plus en détail

IAM et habilitations, l'approche par les accès ou la réconciliation globale

IAM et habilitations, l'approche par les accès ou la réconciliation globale IAM et habilitations, l'approche par les accès ou la réconciliation globale 04/12/08 Page 1 Evidian 2008 1 Les couches archéologiques du Système d information: Les systèmes centraux Ventes Employés Employé

Plus en détail

Atelier A7. Audit de la gestion globale des risques : efficacité ou conformité?

Atelier A7. Audit de la gestion globale des risques : efficacité ou conformité? Atelier A7 Audit de la gestion globale des risques : efficacité ou conformité? 1 Intervenants Jean-Pierre Hottin Associé, PWC jean-pierre.hottin@fr.pwc.com Annie Bressac Directeur de l audit et du contrôle

Plus en détail

La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts

<Insert Picture Here> La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts Christophe Bonenfant Cyril Gollain La GRC en période de croissance Gouvernance Gestion

Plus en détail

Processus «Gérer les réclamations clients» De la réclamation au suivi de la satisfaction client

Processus «Gérer les réclamations clients» De la réclamation au suivi de la satisfaction client Processus «Gérer les réclamations clients» De la réclamation au suivi de la satisfaction client Historique Version Date Nature des modifications Auteur 1.0 12/10/2011 www.allaboutbpm.com / Bonitasoft Crédit

Plus en détail

Genèse de l orchestration chez CA-CIB et trajectoire vers le Cloud

Genèse de l orchestration chez CA-CIB et trajectoire vers le Cloud Genèse de l orchestration chez CA-CIB et trajectoire vers le Cloud Julien SOUBIEN Responsable Outillage et Automatisation Espace Grande Arche Paris La Défense Sommaire 1 - Contexte CA-CIB 2 - La genèse

Plus en détail

Introduction à la norme ISO 27001. Eric Lachapelle

Introduction à la norme ISO 27001. Eric Lachapelle Introduction à la norme ISO 27001 Eric Lachapelle Introduction à ISO 27001 Contenu de la présentation 1. Famille ISO 27000 2. La norme ISO 27001 Implémentation 3. La certification 4. ISO 27001:2014? 2

Plus en détail

FRH RESSOURCES HUMAINES

FRH RESSOURCES HUMAINES FRH RESSOURCES HUMAINES 1 Yourcegid Ressources Humaines FRH : Paie et administration du personnel Congés et absences Gestion des talents/gpec : formation, compétences et entretiens Planification, optimisation

Plus en détail

Maintien en Conditions Opérationnelles des Dispositifs de Continuité d Activité. Olivier de Chantérac 08 novembre 2006

Maintien en Conditions Opérationnelles des Dispositifs de Continuité d Activité. Olivier de Chantérac 08 novembre 2006 Maintien en Conditions Opérationnelles des Dispositifs de Continuité d Activité Olivier de Chantérac 08 novembre 2006 PCA, MCO et ROI Une Responsabilité de Direction Générale ou Métier - Disposer d une

Plus en détail

Les ressources numériques

Les ressources numériques Les ressources numériques Les ressources numériques sont diverses et regroupent entre autres, les applications, les bases de données et les infrastructures informatiques. C est un ensemble de ressources

Plus en détail

Gérer concrètement ses risques avec l'iso 27001

Gérer concrètement ses risques avec l'iso 27001 SMSI Oui! Certification? Peut être Gérer concrètement ses risques avec l'iso 27001 «L homme honorable commence par appliquer ce qu il veut enseigner» Confucius 23 octobre 2008 Agenda 1. L'ISO 27001 : pour

Plus en détail

La conduite du changement

La conduite du changement point de vue stratégie et gouvernance des systèmes d'information La conduite du changement dans les projets SI 1 En préambule Devant les mutations économiques, sociales et technologiques engagées depuis

Plus en détail

Novembre 2013. Regard sur service desk

Novembre 2013. Regard sur service desk Novembre 2013 Regard sur service desk édito «reprenez le contrôle grâce à votre service desk!» Les attentes autour du service desk ont bien évolué. Fort de la riche expérience acquise dans l accompagnement

Plus en détail

LA DEMARCHE QUALITE DANS UNE PME

LA DEMARCHE QUALITE DANS UNE PME LA DEMARCHE QUALITE DANS UNE PME SOMMAIRE : Introduction Quelques définitions Principes du management de la qualité Enjeux de la mise en place d une démarche qualité La mise en oeuvre du «SMQ» : 1. L engagement

Plus en détail